ワークロードのリソース使用量を制限する

このページでは、Assured Workloads フォルダで非準拠のリソースの制限を有効または無効にする方法について説明します。デフォルトでは、各フォルダのコントロール パッケージによって、サポートされているプロダクトが決定され、それによって使用できるリソースが決まります。この機能は、フォルダの作成時に自動的に適用される gcp.restrictServiceUsage 組織のポリシーの制約によって強制適用されます。

準備

必要な IAM のロール

リソース使用制限を変更するには、より広範な権限セットを含む事前定義ロール、または必要最小限の権限に制限されたカスタムロールのいずれかを使用して、呼び出し元に Identity and Access Management(IAM)権限を付与する必要があります。

ターゲット ワークロードに対して、次の権限が必要です。

  • assuredworkloads.workload.update
  • orgpolicy.policy.set

これらの権限は、次の 2 個のロールに含まれています。

  • Assured Workloads 管理者roles/assuredworkloads.admin
  • Assured Workloads 編集者roles/assuredworkloads.editor

Assured Workloads のロールの詳細については、IAM ロールをご覧ください。

リソース使用量の制限を有効にする

ワークロードのリソース使用量の制限を有効にするには、次のコマンドを実行します。このコマンドは、コントロール パッケージでサポートされているサービスに従って、Assured Workloads フォルダに制限を適用します。

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

次のプレースホルダ値を独自の値に置き換えます。

  • TOKEN: リクエストの認証トークン(例: ya29.a0AfB_byDnQW7A2Vr5...tanw0427)。

    環境に Google Cloud SDK がインストールされていて認証されている場合は、gcloud auth print-access-token コマンドを使用できます。-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: 目的のサービス エンドポイント(例: https://us-central1-assuredworkloads.googleapis.com)。

  • ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例: 12321311)。

  • WORKLOAD_LOCATION: ワークロードのロケーション(例: us-central1

  • WORKLOAD_ID: ワークロードの一意の識別子(例: 00-c25febb1-f3c1-4f19-8965-a25)。

プレースホルダ値を置き換えると、リクエストは次の例のようになります。

curl  -d '{ "restrictionType": "ALLOW_COMPLIANT_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

成功すると、レスポンスは空になります。

リソース使用量の制限を無効にする

ワークロードのリソース使用量の制限を無効にするには、次のコマンドを実行します。このコマンドは、Assured Workloads フォルダに対するサービスとリソースの制限をすべて削除します。

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer TOKEN"   -X POST \
      "SERVICE_ENDPOINT/v1/organizations/ORGANIZATION_ID/locations/WORKLOAD_LOCATION/workloads/WORKLOAD_ID:restrictAllowedServices"

次のプレースホルダ値を独自の値に置き換えます。

  • TOKEN: リクエストの認証トークン(例: ya29.a0AfB_byDnQW7A2Vr5...tanw0427)。

    環境に Google Cloud SDK がインストールされていて認証されている場合は、gcloud auth print-access-token コマンドを使用できます。-H "Authorization: Bearer $(gcloud auth print-access-token)" -X POST \

  • SERVICE_ENDPOINT: 目的のサービス エンドポイント(例: https://us-central1-assuredworkloads.googleapis.com)。

  • ORGANIZATION_ID: Google Cloud 組織の一意の識別子(例: 12321311)。

  • WORKLOAD_LOCATION: ワークロードのロケーション(例: us-central1

  • WORKLOAD_ID: ワークロードの一意の識別子(例: 00-c25febb1-f3c1-4f19-8965-a25)。

プレースホルダ値を置き換えると、リクエストは次の例のようになります。

curl  -d '{ "restrictionType": "ALLOW_ALL_GCP_RESOURCES" }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer ya29.a0AfB_byDnQW7A2Vr5...tanw0427"   -X POST \
      "https://us-central1-assuredworkloads.googleapis.com/v1/organizations/12321311/locations/us-central1/workloads/00-c25febb1-f3c1-4f19-8965-a25:restrictAllowedServices"

成功すると、レスポンスは空になります。

サポートされているプロダクトとサポートされていないプロダクト

このセクションの表に、さまざまなコントロール パッケージでサポートされているプロダクトとサポートされていないプロダクトを示します。デフォルトのリソース使用制限を有効にすると、サポートされているプロダクトのみを使用できます。リソース使用量の制限を無効にすると、サポートされているプロダクトとサポートされていないプロダクトの両方を使用できます。

FedRAMP Moderate

エンドポイント サポート対象プロダクト サポートされていない製品
aiplatform.googleapis.com Vertex AI AI Platform トレーニング API と予測 API

FedRAMP High

エンドポイント サポート対象プロダクト サポートされていない製品
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform トレーニング API と予測 API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers

刑事司法情報サービス(CJIS)

エンドポイント サポート対象プロダクト サポートされていない製品
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

影響レベル 4(IL4)

エンドポイント サポート対象プロダクト サポートされていない製品
compute.googleapis.com
Compute Engine
Persistent Disk
AI Platform トレーニング API と予測 API
Cloud CDN
Virtual Private Cloud
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

米国リージョンとサポート

エンドポイント サポート対象プロダクト サポートされていない製品
accesscontextmanager.googleapis.com
VPC Service Controls
Access Context Manager
compute.googleapis.com
Virtual Private Cloud
Persistent Disk
Compute Engine
Cloud CDN
Cloud Interconnect
Cloud Load Balancing
Cloud NAT
Cloud Router
Cloud VPN
Google Cloud Armor
Network Service Tiers
cloudkms.googleapis.com
Cloud Key Management Service
Cloud HSM

Service エンドポイント

このセクションでは、リソース使用量の制限を有効にした後でもブロックされない API エンドポイントについて説明します。

API 名 エンドポイント URL
Cloud Asset API cloudasset.googleapis.com
Cloud Logging API logging.googleapis.com
Service Control servicecontrol.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Google Cloud Observability stackdriver.googleapis.com
Security Token Service API sts.googleapis.com
Identity and Access Management API iam.googleapis.com
Cloud Resource Manager API cloudresourcemanager.googleapis.com
Advisory Notifications API advisorynotifications.googleapis.com
IAM Service Account Credentials API iamcredentials.googleapis.com
組織のポリシー サービスの API orgpolicy.googleapis.com
Policy Troubleshooter API policytroubleshooter.googleapis.com
Network Telemetry API networktelemetry.googleapis.com
Service Usage API serviceusage.googleapis.com
Service Networking API servicenetworking.googleapis.com
Cloud Billing API cloudbilling.googleapis.com
Service Management API servicemanagement.googleapis.com
Identity Toolkit API identitytoolkit.googleapis.com
Access Context Manager API accesscontextmanager.googleapis.com
Service Consumer Management API serviceconsumermanagement.googleapis.com

次のステップ